Pass på e-posten din i sommer

Det nærmer seg en etterlengtet (?) sommerferie. Noen logger kanskje helt av i ferien, men svært mange leser og sender e-post også fra stranden eller fjellet. Med ansatte spredt over hele landet, på sine smarttelefoner, øker dermed risikoen for feilaktige klikk og forhastede åpninger av e-poster og vedlegg.

Forfatter: Adshayan Karunananthan, Informasjonssikkerhetskonsulent

Stadig flere svindlere prøver seg på phishingangrep, en sofistikert og tidvis utspekulert angrepsform. Svindlerne vet å utnytte tider med usikkerhet (COVID-19) og endring i rutiner (ferier), der vi som mottakere kanskje senker «guarden» ørlite. Men hva er egentlig «phishing», hvor omfattende er det, og hva bør vi gjøre?

Vi sender alle e-poster, og innboksen fylles daglig med seriøse og useriøse henvendelser. Det vi ikke alltid tenker over er hvorvidt avsender faktisk er den han/hun utgir seg for å være. Stemmer avsenderadressen, og kommer den fra en vi stoler på? Når noen bevisst utgir seg for å være en annen via e-post, for å svindle mottakeren, kalles det for et «phishingangrep».

Phishingangrep seiler opp som den vanligste måten for kriminelle å skaffe seg tilgang til virksomheters informasjon og IT-systemer, ofte ved hjelp av automatiserte verktøy. Et «generisk» phishingangrep vil rette seg mot flere tusen, ofte millioner, mottagere fra en og samme e-post. I disse e-postene utgir svindlerne seg for eksempel for å representere en mobiloperatør, en offentlig myndighet, en bank, politiet, eller andre autoriteter vi vanligvis har høy tillit til. Svindlerne spekulerer bl.a. i at enkelte av oss vil legge inn kredittkortnummeret på en nettside som ser ut å være ekte, eller at vi reagerer impulsivt når vi varsles om inkasso.

Ved å spille på tillit, frykt, samvittighet, eller nysgjerrighet, «vinner» svindlerne våre følelser og får oss til å ta forhastede og gale beslutninger.

 

Til tross for avanserte sikkerhetsløsninger som stopper mange generiske phishingangrep, vil svindlerne alltid jobbe for å ligge ett steg foran. Stadig oftere ser vi målrettede phishingangrep hvor kriminelle skreddersyr budskapet, gjør e-posten personlig og sikter seg inn mot utvalgte mottakere. For eksempel i en «direktørsvindel», hvor sjefen ber om pengeoverføring av et betydelig beløp til en konto. Typisk for denne typen svindler er at det spilles på hastverk og autoritet. Kun en trent ansatt vil kunne skille en god svindel fra virkeligheten – for å lykkes i det, kreves det at de ansatte trenes.

Opplæring og trening av ansatte kan bidra til å forhindre angrep. Ved å utsette virksomheten for et simulert phishingangrep, samtidig som du har full kontroll over angrepet, vil du få svært verdifull innsikt til å benytte i det videre sikkerhetsarbeidet. Ansatte lærer gjennom handling, og organisasjonen får både forståelse for risikoen og hva en bør se etter.  Phishingøvelser gir ikke bare innsikt i hvordan ansatte forholder seg til phishingangrep, men målinger viser at gjennom noen få øvelser vil ansatte bli langt mer bevisste på trusselen, og antall vellykkede phishingangrep reduseres betraktelig.

For å bistå våre kunder i arbeidet med opplæring og bevisstgjøring, samarbeider vi med en ledende plattformleverandør for phishingøvelser; KnowBe4. Plattformen tilrettelegger, på en effektiv og brukervennlig måte, automatiserte øvelser. Løsningen er kostnads- og ressurseffektiv og reduserer behovet for egen koordinering og oppfølging av øvelser og opplæringstiltak. Med en slik løsning vil du blant annet kunne sammenligne egne resultater mot bedrifter av samme størrelse og bransje, over tid, slik at du enkelt kan måle og justere sikkerhetstiltakene.

En forankret sikkerhetskultur kombinert med gode og praktiske sikkerhetsløsninger, vil bidra til å effektivisere, forenkle og forsikre sikkerhetsstyringen i virksomheten.